Помилка RDP підключення: виправлення шифрування CredSSP

Ранок п’ятниці почалося зі скарг деяких користувачів на неможливість підключиться до віддаленого робочого столу Windows Server 2008 R2 і Windows Server 2012 R2.

Сталася помилка під час перевірки автентичності. Зазначена функція не підтримується.
Причиною помилки може бути виправлення шифрування CredSSP. Додаткові відомості див. Статті https://go.microsoft.com/fwlink/?linkid=866660

Причиною відмови в підключенні послужило оновлення безпеки Windows, що закриває вразливості в протоколі CredSSP (бюлетень CVE-2018-0886), в результаті чого клієнтам заборонялося підключатися до віддалених RDP серверів з непропатченних версією CredSSP. Таким чином, клієнтські машини, які встановили травневі поновлення залишилися не при справах.

Є кілька шляхів вирішення проблеми. Найбільш правильним я вважаю все-таки установку оновлень для закриття уразливості CredSSP на сервері, проте таке рішення може вийти боком в деяких випадках. Наведу простий приклад коли не варто гнатися за оновленнями.

У мережі є комп’ютери на старій версії Mac OS X (10.7.5), для яких не існує свіжої версії RDP-клієнта і після такого поновлення втрачається можливість роботи з сервером. Питання безпеки з’єднання мобільних користувачів в такому випадку вирішується VPN тунелем.

Так що, для початку розглянемо варіант, що дозволяє прибрати повідомлення безпеки і блокування підключення до встановленого оновленням безпеки без оновлення самого сервера. Видалення самого поновлення, звичайно вирішує проблему, але невже ви будете займатися цим постійно?

Відключення повідомлення про помилку шифрування CreedSSP на клієнті

Можна піти двома шляхами – внести зміни через редактор локальних групових політик (не пройде в редакціях Windows Home), або безпосередньо до реєстру за допомогою командного рядка. Другий спосіб більш швидкий і універсальний – в командному рядку, запущеної від імені адміністратора, виконаємо:

REG ADD HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters / v AllowEncryptionOracle / t REG_DWORD / d 2

Якщо ж вам зручніше використовувати редактор локальних групових політик, то запустивши редактор gpedit.msc, переходимо в розділ:

Конфігурація комп’ютера -> Адміністративні шаблони -> Система -> Передача облікових даних
(Computer Configuration -> Administrative Templates -> System -> Credentials Delegation)

Відкриваємо параметр з ім’ям “Виправлення вразливості шифрувального оракула” (Encryption Oracle Remediation), і натискаємо “Включено” ( “Enabled”). Рівень захисту ставимо як “Залишити вразливість” (Vulnerable).

Оновити політики на комп’ютері можна командою, після чого підключення по RDP має запрацювати:

gpupdate / force

Встановлення оновлення для виправлення шифрування CreedSSP на сервері

Встановити відсутні оновлення безпеки на сервері можна через службу Windows Update або вручну. Щоб не тягнути купу зайвого, ось прямі посилання на поновлення для різних версій Windows Server:

Врахуйте, що після установки оновлення сервер піде в перезавантаження.

Якщо вважаєте статтю корисною, не лінуйтеся ставити лайки і ділитися з друзями.

Ссылка на основную публикацию